Title (deu): Network Access Protection und Network Admission Control

Author: Haas, M. (Matthias)

Description (deu): St. Pölten, FH-Stg. Telekommunikation und Medien, Dipl.-Arb., 2007

Description (deu): In einer Zeit, in der die finanzielle Sicherheit eines Unternehmens zu einem großen Teil von einer funktionierenden Infrastruktur desselben abhängig ist und die Bedrohung von IT-Ressourcen durch Viren, Worms, Spyware und andere Schädlinge ständig wächst, sind Innovationen gefragt, die dieses Risikopotential minimieren. Die durch technologische Errungenschaften unserer Zeit gewonnene Mobilität von Enddevices wie Notebooks, birgt auch eine Reihe von Risiken in sich. So ist es nur schwer möglich, Devices, die von Mitarbeitern regelmäßig nach Hause beziehungsweise auf Dienstreisen mitgenommen werden, oder sich anderweitig dem Zugang des Administrators entziehen, regelmäßig auf den aktuellsten Stand in Bezug auf Software-Releases, Virensignaturen und Patches zu bringen. Network Admission Control (NAC) und Network Access Protection (NAP) sind zwei Technologien, die es einem Unternehmen ermöglichen, Sicherheitsrichtlinien hinsichtlich Softwareanforderungen an allen Endgeräten, die sich mit dem Netzwerk verbinden wollen, durchzusetzen. Im Zuge dieser Diplomarbeit soll sowohl die Funktionsweise dieser beiden Technologien im Detail erläutert, als auch ein Überblick über vergleichbare, am Markt verfügbare Produkte wie den Policy Enforcer von McAfee, oder Nortel’s Secure Network Access, gegeben werden, wobei die einzelnen Technologien in softwarebasierende Lösungen, und hardwarebasierende Lösungen aufgegliedert werden. Zunächst soll aufgezeigt werden, dass der durch Viren verursachte Schaden an ITRessourcen heute ernstzunehmende finanzielle Einbußen für ein Unternehmen mit sich bringt, und wie Technologien wie NAC und NAP dieser Entwicklung entgegenwirken können (Kapitel 1). In Kapitel 2 werden alle nötigen Grundlagen wie 802.1x, EAP und RADIUS beschrieben. Kapitel 3 beschreibt in der Folge softwarebasierende Lösungen von Microsoft und McAfee, nämlich den McAfee Policy Enforcer sowie Network Access Protection und Network Access Quarantine Control von Microsoft. Cisco’s Network Admission Control wird, gemeinsam mit Nortel’s Secure Network Access, als Vertreter der hardwarebasierenden Lösungen in Kapitel 4 beschrieben. Die Trusted Computing Group arbeitet an der Veröffentlichung eines offenen Standards zur Integrity Based Network Access Control unter dem Namen Trusted Network Connect. In Kapitel 5 werden die Erwägungen und möglichen Features dieser Technologie beschrieben. Kapitel 6 erläutert das Modell der Interoperability Architecture von NAC und NAP, einer Allianz von Cisco und Microsoft auf dem Gebiet der Integrity Based Network Access Control. In Kapitel 7 soll an den Beispielen NAC und NAP gezeigt werden, wie diese Technologie in der Praxis Anwendung findet und wie die Konfiguration der einzelnen notwendigen Komponenten erfolgt. In Kapitel 8 werde ich versuchen Resümee zu ziehen und einen Ausblick über mögliche Weiterentwicklungen zu geben.

Description (eng): In the modern technological age, where the financial stability of a business is dependent on a functional IT-infrastructure, the growing threat caused by viruses, worms, spyware and other malware, companies are in need of innovative methods to substantially decrease their vulnerability. The growing mobility of devices potentially conceals numerous risks. It is hard to assure that software, virus signature-files and patches in use on computers that regularly leave the company's property, or otherwise elude the administrator's influence, are up to date. Both Network Admission Control and Network Access Protection are technologies that empower a company to enforce security policies regarding software requirements on all devices that try to connect to the network. In this thesis, the mode of operation is to be explained in detail and an overview of comparable, currently available products is to be given. The particular technologies are structured in software- and hardware-based solutions. First of all, it is disclosed in Chapter 1, that the damage that viruses cause today entail serious financial losses for the companies concerned, and how technologies like NAC and NAP can help antagonise this trend. In order to build up a common basis and to avoid the need for detailed remarks throughout this paper, Chapter 2 tries to outline underlying technologies and protocols ( e.g. 802.1x, EAP and RADIUS) that are required for Integrity Based Network Access Control to work. Chapter 3 describes Microsoft's Network Access Protection and Network Access Quarantine Control and McAfee's Policy Enforcer as exponents of software-based solutions. Chapter 4 covers examples for hardware-based technologies, those are Cisco's Network Admission Control and Nortel's Secure Network Access. Trusted Network Connect is discussed as a model for an open standard for Integrity Based Network Access Control, introduced by TCG, the "Trusted Computing Group". Its possible features and its functions are outlined in chapter 5. Microsoft's and Cisco's alliance to build an Interoperability Architecture for NAC and NAP, and its basic setup are described in chapter 6. Chapter 7 shows setup-examples for both NAC and NAP under lab-conditions and chapter 8 rounds off this thesis with the personal summary by the author.

Object languages: German

Date: 2007

Rights: © All rights reserved

Classification: Netzwerkverwaltung; Sicherheit; Software; RADIUS ; Trusted Computing

Permanent Identifier